Риски безопасности были всегда. Дворцовая стража, пограничники, охранники фабрик и складов — все они служат одной цели: уберечь имущество и людей, которые находятся внутри. Они стараются, чтобы заговорщики, террористы, грабители и прочие подобные личности никому не навредили, ничего не сломали и не утащили.
Нужны сторожа и в цифровом пространстве. Ведь там хранятся наиболее ценные сегодня ресурсы: терабайты информации. Информации, благодаря которой функционируют и развиваются современные институты и предприятия. Информации, которая погубит компанию в случае утечки.
Индустриям требуются специалисты по рискам информационной безопасности. Научиться оперативно выявлять, анализировать и оценивать такие риски для дальнейшего сокращения, передачи или утилизации можно на курсах дополнительного профессионального образования. Здесь же мы лишь рассмотрим категории угроз и процедуру их анализа.
Проблемы цифрового века
Риск информационной безопасности — сочетание неблагоприятного для предприятия события с вероятностью его наступления. Это может быть утечка личных данных или корпоративной тайны, несанкционированное удаление или порча файлов, кража оборудования и тому подобное. Такая деятельность призвана нанести ущерб: в случае её успеха компания понесёт убытки в сотни тысяч рублей, а её рабочие и управляющие станут мишенями для недоброжелателей.
Помнишь того жутковатого дизайнера, которого ты уволил на днях? Нет? Ничего, скоро вспомнишь…
Подобное может произойти случайно или стать результатом целенаправленного труда. Кто-то положил палец не на ту кнопку, и теперь надо восстанавливать важный файл. Хорошо, если на сервере есть диск для резервных копий: тогда всё можно вернуть. А бывает, что человек годами входит в доверие. Смотришь на него и не считаешь его угрозой. Но потом замечаешь, что твои конкуренты слишком усиливаются, и начинаешь подозревать кого-то в сливе информации. В обоих случаях компания теряет деньги и время.
Недоброжелатели стремятся нарушить конфиденциальность, целостность и доступность ресурсов компании. Последние делятся на две категории:
- нематериальные — информация, организационные процессы;
- материальные — серверное оборудование, программное обеспечение, каналы передачи, системы хранения данных, персонал.
И все они связаны. Тот, кто атакует вторые ресурсы, повреждает первые, и наоборот.
Учимся разбираться в рисках
На курсах «РБК» слушатели ознакомятся с различными методиками анализа рисков. Они твёрдо усвоят разницу между незначительными и неприемлемыми рисками и научатся по-быстрому обрабатывать последние. Здесь лишь скажем, что у этих методик много общего. Процесс оценки всегда делится на следующие восемь этапов:
-
Инициализация. В начале специалист должен всё спланировать и получить доступ к ресурсам — в том числе человеческим, ибо полностью автоматизировать процесс пока невозможно.
-
Определение ценности активов. Здесь специалист инвентаризирует инфраструктуру компании, описывает и оценивает активы. При этом он должен придерживаться принципов целостности, конфиденциальности и доступности информации.
-
Составление модели нарушителя. Специалист изучает историю инцидентов и сведения из открытых источников и на основании этой информации выявляет потенциальные угрозы для организации. Далее он присваивает каждой из них характеристику — в том числе вероятность её наступления в процентах.
-
Выявление уязвимостей. Специалист ищет «слабые места» в технической и организационной инфраструктуре предприятия. Тут ему помогают замечания и несоответствия, которые выявили во время аудита.
-
Анализ защитных мер. Далее специалисту предоставляют перечень действующих в компании организационных и технических механизмов «обороны», и он изучает их эффективность.
-
Собственно оценка рисков. На этом этапе специалист сортирует негативные сценарии на основании их последствий: от незначительных до абсолютно неприемлемых.
-
Планирование обработки неприемлемых рисков. Специалист описывает и предлагает управляющим методы полного исключения наиболее опасных сценариев. Директора сами должны решить, что из этого им подойдёт, а что нет. Всё зависит от затрат на внедрение и бюджета компании. На что уйдёт больше денег: на реализацию той или иной меры или на устранение последствий инцидента, который эта мера призвана предотвратить?
-
Отчётность. Наконец, специалист составляет документ, в котором описывает результаты анализа, перечень неприемлемых рисков и план их обработки.